DMARC.org un pas en avant dans la lutte contre le phishing?

[caméléon]

salut,

Je viens de tomber sur l'annonce d'un nouveau standard en cours de création par les majors du secteur (1) pour lutter contre le phishing propagé par les messages frauduleux: DMARC ("Domain-based Message Authentication, Reporting & Conformance").

Le brouillon sera prochainement proposé à l'IETF pour une standardisation. Gmail a constaté que déjà 15% des messages qui transitent par ces services utilisent déjà cette technologie!

Je suis pas sur d'avoir bien compris comment ça marche, mais je trouve l'idée intéressante, car j'ai constaté que je reçoit régulièrement de faux mails de ma banque ou de Free qui tente d'obtenir mes identifiants... Et mon collègues de bureau a déjà été victime une fois de ce type de message

(1) en vrac: AOL, Gmail, Hotmail, Yahoo! Mail, Bank of America, Fidelity Investments, PayPal, Facebook, LinkedIn...

[vulcain]

Si j'ai bien compris ce n'est qu'un renommage de techniques existantes (DKIM et SPF).
Sûrement une bonne couche de marketing pour forcer son adoption par les groupes qui ont leur propre boîte électronique mais qui sécurise cela comme des pieds (à bon il faut mot de passe pour accéder à l'IMAP ??). Car tant que cela sera seulement MS, Yahoo, Google qui implémente cela, il n'y aura pas beaucoup d'effet sur le Spam (tout le monde n'a pas un compte courriel chez eux).

[caméléon]

En tout cas, il y a du boulot... Hier j'ai reçu un mail de la CAF avertissant de phishing en cours à leurs couleurs... Aujourd'hui, c'est EDF:

Chère Cliente, cher Client,

Depuis septembre 2011, une recrudescence de faux e-mails et de faux sites internet aux couleurs d’EDF a été constatée.

Ce phénomène s’appelle le phishing. Il s’agit d’un mode opératoire utilisé par des personnes malveillantes, visant à récupérer de manière frauduleuse certaines de vos informations personnelles pour vous soutirer de l’argent. A cet effet, les pirates informatiques envoient des emails, SMS ou spams vocaux en masse et de manière aléatoire, en se faisant passer pour de grandes sociétés (comme EDF par exemple) ou des banques.

Leur objectif est de récupérer des données telles que :
- les données d’accès à votre espace Client EDF Bleu Ciel,
- votre numéro de carte bancaire, RIB, adresse,
- ou encore votre numéro de carte d’identité...

Il existe des moyens simples pour identifier ces tentatives de phishing :→ Je découvre les conseils utiles

Soyez vigilant !

Cordialement,
Votre conseiller EDF Bleu Ciel

Il serait temps de mettre fin à ce fléau...

[vulcain]

Ce sont des recommandations qui existe depuis 4-5 ans. Apparemment, c'est moins cher d'envoyer des mails d'alerte de pishing que d'implémenter ce truc.
Je serais curieux de savoir si les boîtes à lettres de l'état l'ont implémenter et si les organismes officiels l'ont fortement recommander.

[calimo]

Cela ne vas pas réduire le phishing, ou très peu !
Si tu regardes l'adresse d'un email frauduleux, il ne provient quasi jamais d'EDF. Tu as toujours le nom d'un site web qui n'a rien à voir. Ce sera toujours le cas avec DMARC (il ne sera pas identifié mais personne ne regarde l'adresse d'origine, alors imagine s'ils vérifieront l'authentification !)

[vulcain]

Oui, mais les grandes boites aux lettres comme hotmail, yahoo, google pourront affiner leur anti-spam avec si EDF/CAF dans le message sans DKIM -> +10 pts de SPAM.

[calimo]

Oui, mais les grandes boites aux lettres comme hotmail, yahoo, google pourront affiner leur anti-spam avec si EDF/CAF dans le message sans DKIM -> +10 pts de SPAM.

C'est une blague ???!!!


Edit: je précise ma pensée. Si toi tu m'envoies un message (légitime) parlant (légitimement) d'EDF, alors c'est du spam ? De 1 tu confonds spam et phishing qui n'ont rien à voir et ne peuvent être traités de la même manière, et de 2 tu sembles croire trop facilement que la technologie ne pourra pas être contournée, alors qu'elle ne constituera au mieux qu'une gêne mineure pour les gens malhonnête (et peut-être majeure pour les gens honnêtes, comme la majorité de ce genre de choses).

[vulcain]

Oui, j'ai fait une confusion en spam et pishing

Si toi tu m'envoies un message (légitime) parlant (légitimement) d'EDF

, les envois légitimes sont majoritairement fait à partir des grandes boîtes à lettres. Celles-ci peuvent ensuite directement gérer au cas par cas les pishing/SPAM venant de leurs services.
Après je n'ignore pas que les techniques de SPAM évoluent et utilisent le HTML et les images pour gêner la recherche de mot clés des anti-SPAM.

[calimo]

les envois légitimes sont majoritairement fait à partir des grandes boîtes à lettres. Celles-ci peuvent ensuite directement gérer au cas par cas les pishing/SPAM venant de leurs services.

Non elles ne le peuvent pas. Il y a trop de prestataires pour commencer à faire des exceptions : si ça vient de laposte.net j'autorise le mot clé EDF; et si ça vient d'un petit prestataire qui se lance sur le marché ? Doit-il commencer par contacter tous les autres prestataires ? C'est tout simplement inapplicable, et contraire au but même de DMARC et ce genre de protocoles.

De plus si depuis X.net on peut envoyer des messages signés DMARC valides à propos d'EDF chez Y.net, alors on peut envoyer du phishing. Donc totalement inutile. CQFD.

[vulcain]

Ce que j'en ai compris c'est que permet de vérifier de la provenance du mail (avant on pouvait une xxx@orange.fr sans qu'il soit passer par les serveur d'Orange).

En suite, charge aux équipes techniques des différents boîte aux lettres de se dirent, tel et tel adresse de ton domaine, il enverraient du pishing et SPAM, contrôle s'il te plaît. Euh, en interne ils vérifient et bannissent si c'est avérer. Si après une boîte aux lettres ne le fait pas, les autres pourront dire. Toutes les lettres qui vient de chez lui, on les jettent.

DMARC s'occupent que de sécuriser la provenance, mais de là cela facilitent le travail après.

[calimo]

Ce que j'en ai compris c'est que permet de vérifier de la provenance du mail (avant on pouvait une xxx@orange.fr sans qu'il soit passer par les serveur d'Orange).

En fait ça c'est le rôle de DKIM. DMARC doit permettre (en gros) de dire ce qu'il faut faire si ce DKIM est invalide ou absent (et aussi si le SPF n'est pas respecté).

En suite, charge aux équipes techniques des différents boîte aux lettres de se dirent, tel et tel adresse de ton domaine, il enverraient du pishing et SPAM, contrôle s'il te plaît. Euh, en interne ils vérifient et bannissent si c'est avérer. Si après une boîte aux lettres ne le fait pas, les autres pourront dire. Toutes les lettres qui vient de chez lui, on les jettent.

Le but de DMARC est justement d'automatiser ça pour éviter d'avoir des comportement au cas par cas qui sont tout de suite ingérables.

Mais tant que tous les domaines (il y en a environ 200 millions aux dernières nouvelles) n'ont pas mis en place cette politique, elle reste totalement inefficace puisqu'on peut toujours envoyer des mails au nom de ces domaines sans être inquiété...
Bref, c'est voué à l'échec.

[Teraoctet]

Bonjour
Après contact avec Dmarc il s'avère que j'ai obtenu une réponse de MS qui est partie preneuse de cette technologie:
en voici la teneur.

Provided I understand you correctly, DMARC doesn’t care about the contents of the message, just whether and how the message can be authenticated.

Dans ce sens c'est vraiment du tout et n'importe quoi

[caméléon]

Je pense que si autant de multinationales s'investissent dans le projet, ce n'est certainement pas pour que ce soit n'importe quoi...

[Teraoctet]

Bonjour Caméléon
Certes vous avez raison en partie, mais il y a aussi un danger du fait que ce ne sera pas la teneur du message qui sera vérifié. Seulement le sujet qui sera parfois (souvent) mal interprété donc bloqué, l'émetteur sera aussitôt blacklisté automatiquement.
1. Supposons un instant les réseaux 'sociaux' mettent souvent des papiers à lettre animés dans le corps du message, seront ils détéctés comme spammeurs?...
2. Supposons aussi le cas d'un publicitaire qui fait un modèle de publicité et le met dans le corps du message pour montrer à son client l'effet que cela pourrait donner une fois installé sur la devanture de sa petite boutique...sera-t'il lui aussi considéré comme spammeur?...
3. Supposons que je continue à mettre une création web pour un de mes client dans le corps du message pour lui faciliter la visualisation (bien souvent les petits artisans et commerçants) ne comprennent pas grand choses aux mail et pièces jointes. serai-je aussi considéré comme spammer ou faisant du phishing?...

Pour le moment c'est c'est encore à l'étude OK, mais quelles mesures vont ils adjoindre afin d'obtenir un tri vraiment sélectif. tout là est la question.
Je pense sincèrement qu'à l'instant présent cela va tout droit vers l'arbitraire.
Bonne journée

[calimo]

Certes vous avez raison en partie, mais il y a aussi un danger du fait que ce ne sera pas la teneur du message qui sera vérifié.

Pour les analyses de contenu, il y a des technologies qui existent, certaines d'entre elles assez efficaces. DMARC n'a pas du tout pour objectif de se préoccuper de cela. Une seule chose à la fois

DMARC se préoccupe de quelque chose qui n'est pas forcément très intuitif : beaucoup de gens (y compris des gens par ailleurs très bien informés sur les technologies de l'internet) ont de la peine à comprendre que n'importe qui peut envoyer un message depuis n'importe où en se faisant passer pour n'importe qui.
Je peux très facilement envoyer un email en me faisant passer (par exemple) pour Caméléon. Tout ce dont j'ai besoin c'est de connaitre son adresse email. Pas du tout besoin de son mot de passe. Pas besoin d'un accès à son compte. Sans que ce ne soit un contournement du système ou un abus (cela reste probablement illégal dans quasiment tous les pays, mais le système est parfaitement conçu pour me permettre cela très facilement sans grande connaissance technique - il suffit de savoir ajouter une identité dans Thunderbird). Je peux utiliser une adresse email qui n'existe pas. Je peux envoyer un email depuis mon FAI X en utilisant une adresse @Y, ou inversément. Tout cela est très souvent mal compris voire ignoré (ou au moins les conséquences et surtout l'importance de ce fait).

Tout au long du transfert SMTP du message, il n'y a absolument aucun moyen de vérifier l'authenticité de la source. C'est à la fois une force (cela permet beaucoup de souplesse) et une faiblesse (facile à abuser) intrinsèque du protocole SMTP. Avec ces technologies du type DMARC, on essaye de mettre un emplâtre sur une jambe de bois, en disant "ce message a bien été envoyé par / depuis" (ça c'est le DKIM déjà existant) et "les emails de ce domaine doivent être signés avec cette clé" (ça c'est la marque DMARC). Mais on ne résout pas les problèmes suivants :
- on peut envoyer des emails au nom de domaines qui n'en envoient normalement pas (et ne feront jamais l'effort de configuration requis pour signifier qu'ils n'envoient pas d'emails) ;
- beaucoup de serveurs mal configurés servent de relais ouverts (même s'il y en a de moins en moins, il suffit d'un seul) et laissent entrer n'importe quoi dans le circuit (ces messages seront très facilement authentifiés au nom de n'importe quoi) ;
- on peut envoyer des emails indiquant comme provenance une adresse qui ne nous appartient pas.

Si un seul de ces points n'est pas réglé, toute authentification ne sert à rien, si ce n'est à complexifier encore le système, et donc le rendre plus fragile car plus difficile à configurer correctement. Pour régler le problème de l'authentification, il faudrait revoir le protocole SMTP de fond en comble. Il faudrait surtout un formidable effort de tous (et je dis bien tous : les 200M de domaines et les 4G de machines : une seule exception et c'est fichu). C'est totalement illusoire, infaisable, disproportionné. Il aurait fallut faire ça il y a 20 ans, maintenant c'est trop tard et on ne pourra jamais le rattraper.

Je pense que si autant de multinationales s'investissent dans le projet, ce n'est certainement pas pour que ce soit n'importe quoi...

Pas n'importe quoi : cela fait de la pub (regardez on se préoccupe du problème du spam / phishing) à moindre coût (une petite organisation de ce genre, pour un gros fournisseur genre MS/Yahoo/Google ce n'est vraiment rien). Qu'on ne s'y trompe pas, cela sert à quelque chose : si cela fonctionne, on ne pourra plus envoyer un email @yahoo.com vers gmail.com sans utiliser le serveur SMTP de yahoo. Mais ce sera bien plus gênant pour l'utilisateur légitime qui n'y connait rien que pour le spammeur qui pourra toujours envoyer du spam (certes, plus à gmail.com avec une adresse @yahoo.com, mais qu'est-ce que ça change ?)